方滨兴:五个层面解读国家信息安全保障体系
来源:CIO时代网 更新时间:2012-04-14

“作为国家信息安全保障体系来讲,其包括积极防御、综合防范等多个方面的多个原则。因此,要建立和完善信息安全等级保护制度就要加强和建设多个层面。”中国工程院院士方滨兴指出,当前国家信息安全的保障体系需要围绕以下细节全面建设,具体为:要加强密码技术的开发与应用、建设网络信息安全体系、加强网络信息安全风险评估工作、建设和完善信息安全监控体系、高度重视信息安全应急处置工作、重视灾难备份建设。

当然了,要增强国家信息安全保障能力,还必须要掌握核心安全技术。此外还包括能力,如信息安全的法律保障能力、基础支撑能力等等。

简而言之,方院士称:“我们国家的信息安全保障体系可以从五个层面解读,又可以称之为‘一二三四五国家信息安全保障体系’”。

方院士的解读具体如下:

一,即一个机制,就是要维护国家信息安全的长效机制。

二,是指两个原则:第一个原则是积极预防、综合防范;第二个原则是立足国情,优化配置。

三,是指三个要素:人、管理、技术。

四,是指四种能力:核心技术能力、法律保障能力、基础支撑能力、舆情宣传和驾驭能力、国际信息安全的影响力。显然,在国际的信息安全斗争或对抗中,只有这几方面的能力具备了才能占有优势地位,当然这背后实际上需要做很多的工作。

五,是指五项主要的技术工作:风险评估与等级保护、监控系统、密码技术与网络信任体系、应急机制、灾备。

一、一个机制

所谓的一个机制,是说机制一定是一个完善长效的机制,一方面是在组织协调性上,另一方面是在支撑力度上。这需要宏观层面,包括主管部门予以支持。

二、两个原则

第一个原则是积极防御、综合防范。不难理解,综合是表现在整个产业的协调发展,也就是说网络信息安全与信息化的关系。在这个里面,积极当然有多种含义,虽然我们并不提倡主动攻击,但是掌握攻击技术是信息对抗所需要的。但是值得注意的是,真正的积极是指一旦出现一个新的技术,我们就立即要想到研究这个新技术会带来什么安全性问题,以及这样的安全性问题该怎么办?比如说Web 2.0概念出现后,甚至包括病毒等等这些问题就比较容易扩散,再比如说Ipv6出来之后,入侵检测就没有意义了,因为协议都看不懂还检测什么……所以说这些信息化新技术的出现同时也都呼唤新的安全技术。

另外技术解决不了的还得靠管理,比如说等级保护,当然等级保护主要是面向政府部门的。那么反过来管理做不了的也得靠技术,你说有病毒,光嘴上说不行,还得有技术防范。再有就是强调了核心保障。

第二个原则是立足国情,这里面主要是强调综合平衡安全成本与风险,如果风险不大就没有必要花太大的安全成本来做。在这里面需要强调一点就是确保重点的,如等级保护就是根据信息系统的重要性来定级,从而施加适当强度的保护。此外,当你在发展的时候必须要考虑到涉及到安全问题的时候该怎么办,但你做安全也是为了促进发展,而不是说限制发展,所以尽管我们现在觉得需要物理隔离的方式,但同时也在研究一系列的技术来替代这么一个简单的方式,这个就是国情的需要。

 

三、三个要素

三个要素包括人、管理、技术。

从人才角度来说强调了两个方面,一个方面是培养,培养你的人、才、水平,那么包括学历教育、研究、以及学科层面,无论是培养研究生还是其他研究人才,都和社会服务人才不一样。再有就是培训和网络教育。还有加强信息安全宣传工作和网络文明建设,也都需要相关的支持,基本上跟信息相关的底下都有这个。此外,就是论坛、媒体的努力。当然,吸引和用好高素质的信息安全管理和技术人才的机制也很有有用。

就管理这一点而言,其实互联网上的管理主要是靠四句话:法律保障、行政监管、行业自律、技术支撑。我们还可以把管理分为三级措施,那么从宏观的角度来说出现的是什么?方针,国家说积极预防、综合防范,这是一种方针,还有就是政策引导,我们现在制订这方面的政策等,再有就是具体的法规,就是要严格规章制度。此外还有标准,标准是从技术角度、管理角度引导你,你不会做按照这个做就行了。也就是说标准解决怎么做,法规解决做什么的问题。到微观方面就是说各个管理机构,要做好规章、制度、策略、措施。

需要说明的是,机制就是怎么管,我们现在是通过一些认证测评、市场准入来对安全做管理,这里面对产品服务做认真测评,包括政府采购也是受一定的限制。而措施则是,你到底管哪些事情,如等级保护这个是要管的,这个是没有问题的;再比如系统安全、产品的采购包括测评、密码技术等都在管理范畴。

第三个层面是信息安全技术,信息安全技术在这里面特别强调的是对引进的产品的安全问题,如它的安全可控必须要有人管。同时我们还要研究新技术、新业务,包括网络安全、内容安全、密码、安全隔离手续等。当然这其中也少不了需要政策导向和市场机制,当然最终的目标就是信息安全还应该以自主知识产权为主。

四、四个核心能力

四个核心能力,主要是信息安全的法律保障能力,信息安全的基础支撑能力,网络舆情宣传和驾驭的能力。再有一个就是国际信息安全的影响力,

就法律保障能力而言,业内一致认为要以信息安全为纲,你一定要有一个信息安全法,有了这个核心法你才能做一系列的工作,包括制订相应的制度。

第二个能力叫做基础支撑能力,就是说国家要有一系列的相应的基础支撑,比如说数字证书、计算机网络应急响应体系、灾难恢复体系等等,再比如说密钥管理、授权管理等等,这些都是做得很成功的,而网络舆情掌控的体系,一些部门也都有,你它的运行效果还有很多需要改进的余地。

第三个能力是舆情驾驭能力,我们在网上可以看到这句话,要关注三个如何,如何引导网络舆论,如何对网上的热点话题做访问,如何提高处置网络的能力。这些实际上都是我们舆情驾驭能力的标志。舆情驾驭的具体目标是首先要能够发现和获取,然后要有分析和引导的能力,之后要有预警和处理的能力。

第四个是国际影响力。只有在信息安全较量中才能体现出一个国家的信息安全影响力。所以,这就需要发挥信息安全整体资源的优势,这其中包括对有害信息的应对能力、技术手段。用逆向思维的话,就是说假如出现最坏的情况网络被恶意中断,那么至少能保持一个封闭体系还能继续运转,这可能必须要有域名的解析,当然这个国内现在已经做到了。

五、五项工作

五项工作包括:加强风险评估工作,建立和完善等级保护制度;加强密码技术的开发利用,建设网络信任体系;建设和完善信息安全监控体系;高度重视信息安全应急处置工作;灾难备份等。

第一,风险评估和等级保护,两者相辅相成需要一体化考虑。因为风险评估是出发点,等级划分是判断点,安全控制是落脚点,所以风险评估和等级保护这两件事儿是不可分的,只有知道了系统的脆弱性有多大,等级保护才能跟上去。

第二,网络信任体系主要是靠密码技术,还要强调密钥体系。

第三,网络监控系统,强调国家对各个运营单位都要求有相应的信息监控系统,要有处理信息的能力,这样起码对一些网络攻击,防范失泄密可以提供支持。

第四,应急响应体系,国家在2003年SARS之后就开始建立应急响应体系,2008年的1月份出现了凝冻灾害天气,充分考验了这个体系。所以信息安全也有国家级的预案,或许将来会做更多的宣贯。

第四,灾难备份,这个里面最重要的目标是力保恢复,其次是及时发现,接下来才是快速响应。